ГОСТ Р ИСО ТО 13569 —2007
Обозначение заливки:
незащищенность от воздействия’значительность:
zn
криггыескзя
5
значительная
существенная
и
незначительная2
пренебрежимо малая
1
9334445555
в
8
33
4
44
4555
л7233344
4
55
и
6 2 2
3
3 3
4 4 4 5
я
5
2
2 2
3 3 3
4 4 4
н
4
1
22233344
и
3
1 1
2
22
333
4
е
21
1
1222333
1 11112223
а
12 3 456789
Вероятность
Несомненно, что чем больше значимость риска, тем больше усилий нужно затратить на анализ и управле
ние риском. На этой стадии не стоит слепо следовать системе оценки: самым необходимым является определе
ние основных проблем риска, которые будут рассматриваться руководством в любом уместном для него порядке
на основе всей имеющейся информации, включая подверженность риску, но не ограничиваясь ей. К факторам,
которые следует принимать в расчет на этой стадии, относятся обычные факторы, регулирующие управление
бизнесом: наличие ресурсов, бюджет, стратегия и цели компании в данное время, политическое влияние и т. д.
Последующие действия
Для обработки идентифицированных рисков выбирается одно из следующих четырех направлений дей
ствий:
- избежание — означает устранение источника угрозы или изменение бизнес-цели для устранения риска.
Хотя этот способ обработки риска кажется идеальным, он. очевидно, применим лишь в редких случаях. «Без
риска нет бизнеса!» Например, вы можете избежать риска быть сбитым машиной, никогда не выходя из дома, но
в этом случае значительная часть жизни пройдет мимо вас. Приведем пример, более близкий к бизнес-операци
ям: мы можем предотвратить воздействие несостоятельности третьей стороны, не используя эту сторону, в
этом случае нам. вероятно, просто не с кем будет работать! Однако в тех случаях, когда риска можно реально
избежать, это часто является дешевым и долгосрочным решением;
- принятие мер — означает, что необходимо осуществить действия, которые заключаются в разработке
плана. Выполнение этих действий уменьшает вероятность материализации риска или ограничивает эффект со
бытия и таким образом уменьшает его воздействие. Примеры многочисленны и очевидны — принятие мер в
отношении риска потери данных с помощью режима резервного копирования, ограничение эффекта компроме
тации криптографических ключей путем ограничения срока их службы и тд.;
- распределение — означает переложение основной части воздействия последствий риска на третью сто
рону. Классическим способом является страхование. Несомненно, распределение риска редко достигается без
определенных текущих расходов! Например, мы можем распределить нашу ответственность за выдачу некаче
ственной консультации путем профессиональной компенсационной политики. Риски иногда можно распреде
лить на третьи стороны через соглашение (как ответственность), хотя способность этих сторон управлять
послед ствиями рисков сама по себе может представлять риск;
- принятие — четвертым вариантом является простое принятие риска. Необходимо осознать возможность
появления риска, но оценив расходы и степень желательности трех первых вариантов, принять решение о том.
что величина риска перевешивается потенциальными выгодами работы с ним. Например, мы можем решить
52